Microsoft Security Advisory 4021279
.NET Core 中的弱點,ASP.NET Core 可能會允許提高許可權
發佈時間: 2017 年 5 月 9 日 |更新日期:2017 年 5 月 10 日
版本: 1.1
執行摘要
Microsoft 正在發行此安全性諮詢,以提供公用 .NET Core 和 ASP.NET Core 中弱點的相關信息。 此諮詢也提供了指導,讓開發人員了解如何才能正確地更新應用程式。
.NET Core 和 ASP.NET Core 是新一代的 .NET,可為 Web 和雲端案例提供熟悉且現代化的架構。 這些產品由 .NET 和 ASP.NET 小組積極開發,並與 開放原始碼 開發人員社群合作,在 Windows、Mac OS X 和 Linux 上執行。 發行 .NET Core 時,版本號碼會重設為 1.0.0,以反映它是與其前置 -.NET 不同的產品。
問題 CVE 和描述
| CVE | 說明 |
|---|---|
| CVE-2017-0247 | 拒絕服務 |
| CVE-2017-0248 | 安全性功能略過 |
| CVE-2017-0249 | 提高權限 |
| CVE-2017-0256 | 詐騙 |
受影響的軟體
如果弱點使用下列受影響的套件版本,則會影響任何 Microsoft .NET Core 專案。
| 受影響的套件和版本 | ||
|---|---|---|
| 封裝名稱 | 套件版本 | 已修正套件版本 |
| System.Text.Encodings.Web | 4.0.0 4.3.0 | 4.0.1 4.3.1 |
| System.Net.Http | 4.1.1 4.3.1 | 4.1.2 4.3.2 |
| System.Net.Http.WinHttpHandler | 4.0.1 4.3.0 | 4.0.2 4.3.1 |
| System.Net.Security | 4.0.0 4.3.0 | 4.0.1 4.3.1 |
| System.Net.WebSockets.Client | 4.0.0 4.3.0 | 4.0.1 4.3.1 |
| Microsoft.AspNetCore.Mvc | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Core | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Abstractions | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.ApiExplorer | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Cors | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.DataAnnotations | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Formatters.Json | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Formatters.Xml | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Localization | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Razor.Host | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.Razor | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.TagHelpers | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.ViewFeatures | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
| Microsoft.AspNetCore.Mvc.WebApiCompatShim | 1.0.0, 1.0.1, 1.0.2, 1.0.3 1.1.0, 1.1.1, 1.1.2 | 1.0.4 1.1.3 |
諮詢常見問題
如何? 知道我是否受到影響?
.NET Core 和 ASP.NET Core 有兩種類型的相依性:直接和可轉移。 如果您的專案與先前列出的任何套件和版本有直接或可轉移的相依性,您就會受到影響。
注意
在修補 ASP.NET Core MVC 時,我們會更新每個 Microsoft.AspNetCore.Mvc.* 套件。 例如,如果您相依於 Microsoft.AspNetCore.Mvc,您應該先更新至適當的版本(1.0.x 應該更新為 1.0.4,1.1.x 應該更新為 1.1.3),它也會更新任何其他易受攻擊的 Microsoft.AspNetCore.Mvc 相依性。
.NET Core 專案格式
.NET Core 有兩種不同的專案檔格式,視建立專案的軟體而定。
- project.json是原始格式,包含在 .NET Core 1.0 和 Microsoft Visual Studio 2015 中。
- csproj 是 Microsoft Visual Studio 2017 中使用的格式。
您必須確定您遵循項目類型的正確更新指示。
直接相依性
直接相依性是您特別將套件新增至專案的相依性 。 例如,如果您將 Microsoft.AspNetCore.Mvc 套件新增至專案,則您已直接相依於 Microsoft.AspNetCore.Mvc。
直接相依性可透過檢閱您的project.json或 csproj 檔案來探索。
可轉移的相依性
當您將套件新增至專案時,就會發生可轉移的相依性 ,而該套件接著依賴另一個套件。 例如,如果您將 Microsoft.AspNetCore.Mvc 套件新增至您的專案,則這取決於 Microsoft.AspNetCore.Mvc.Core 套件(以及其他套件)。 您的專案直接相依於 Microsoft.AspNetCore.Mvc,以及 Microsoft.AspNetCore.Mvc.Core 套件的可轉移相依性。
可轉移的相依性可在 Visual Studio 方案總管 視窗中檢閱,其支援搜尋,或檢閱專案根目錄中包含project.json專案的project.lock.json檔案,或針對 csproj 專案包含在專案 obj 目錄中的 project.assets.json 檔案。 這些檔案是專案所使用的所有套件的授權清單,包含直接和可轉移的相依性。
如何? 修正受影響的應用程式嗎?
您必須修正直接相依性,並檢閱並修正任何可轉移的相依性。 先前「受影響的軟體」一節中受影響的套件和版本包括每個易受攻擊的套件、易受攻擊的版本,以及修補的版本。
如果您在專案中使用 ASP.NET Core MVC,您應該先根據先前受影響的版本數據表更新 Microsoft.AspNetCore.Mvc 版本。 如果您目前使用 1.0.0、1.0.1、1.0.2 或 1.0.3 版,您應該將套件版本更新為 1.0.4。 如果您使用 1.1.0、1.1.1 或 1.1.2 版,您應該將套件版本更新為 1.1.3。 這會將每個MVC套件更新為固定版本。
修正直接相依性 - project.json/VS2015
在編輯器中開啟您的project.json檔案。 尋找相依性區段。 以下是範例相依性區段:
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
"Microsoft.AspNetCore.Mvc ": "1.0.1",
}
此範例有三個直接相依性:Microsoft.NETCore.App、Microsoft.AspNetCore.Server.Kestrel 和 Microsoft.AspNetCore.Mvc。
Microsoft.NetCore.App 是應用程式目標的平臺,您應該忽略此專案。 其他套件會在套件名稱右側公開其版本。 在我們的範例中,非平臺套件是 1.0.1 版。
檢閱您先前所列套件和版本的任何實例的直接相依性。 在上一個範例中,有一個易受攻擊套件的直接相依性:Microsoft.AspNetCore.Mvc 1.0.1 版。
若要更新為固定套件,請將版本號碼變更為適合您發行的套件。 在此範例中,這會將 Microsoft.AspNetCore.Mvc 更新為 1.0.4。
更新易受攻擊的套件版本之後,請儲存您的project.json檔案。
範例中的 [相依性] 區段project.json現在看起來如下所示:
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"Microsoft.AspNetCore.Server.Kestrel": "1.0.1",
"Microsoft.AspNetCore.Mvc": "1.0.4",
}
如果您使用 Visual Studio 並儲存更新的 project.json 檔案,Visual Studio 將會還原新的套件版本。 您可以開啟 [輸出視窗] [Ctrl+Alt+O] 並將 [顯示輸出] 下拉式清單變更為 [封裝管理員,以查看還原結果。
如果您未使用 Visual Studio,請開啟命令行並變更至您的項目目錄。 執行 dotnet restore 命令來還原新的相依性。
解決所有直接相依性之後,您也必須檢閱可轉移的相依性。
修正直接相依性 - csproj/VS2017
在編輯器中開啟您的 projectname.csproj 檔案,或以滑鼠右鍵按兩下Visual Studio 2017中的專案,然後從內容功能表中選擇 [編輯 projectname.csproj],其中 projectname 是您項目的名稱。 尋找 PackageReference 節點。 以下顯示範例項目檔:
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.2">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>
此範例有兩個直接套件相依性,如兩個 PackageReference 元素所見。 封裝的名稱位於 Include 屬性中,而套件版本號碼位於套件名稱右側公開的 Version 屬性中。 此範例顯示 Microsoft.AspNetCore 1.1.1 版和 Microsoft.AspNetCore.Mvc.Core 1.1.2 版的兩個套件。
檢閱您的 PackageReference 元素,以取得先前所列套件和版本的任何實例。 在上一個範例中,有一個易受攻擊套件的直接相依性,Microsoft.AspNetCore.Mvc 1.1.2 版。
若要更新為固定套件,請將版本號碼變更為您發行的適當套件。 在此範例中,這會將 Microsoft.AspNetCore.Mvc 更新為 1.1.3。
更新易受攻擊的套件版本之後,請儲存您的 csproj 檔案。
範例 csproj 現在看起來如下:
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc.Core" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0 ">
</dotnetclitoolreference></itemgroup>
</project>
如果您使用 Visual Studio 並儲存更新的 csproj 檔案,Visual Studio 將會還原新的套件版本。 您可以開啟 [輸出視窗] [Ctrl+Alt+O] 並將 [顯示輸出] 下拉式清單變更為 [封裝管理員],以查看還原結果。
如果您未使用 Visual Studio 開啟命令行,並變更至您的項目目錄。 執行 dotnet restore 命令來還原新的相依性。
重新編譯您的應用程式。
如果在重新編譯之後看到相依性衝突警告,您必須將其他直接相依性更新為適當的版本。 例如,如果您的項目參考 Microsoft.AspNetCore.Routing,當您將 Microsoft.AspNetCore.Mvc 套件更新為 1.0.4 時,版本號碼為 1.0.1,編譯將會擲回:
NU1012 相依性衝突。 Microsoft.AspNetCore.Mvc.Core 1.0.4 預期 Microsoft.AspNetCore.Routing >= 1.0.4,但收到 1.0.1
若要修正此問題,請以您用來更新易受攻擊套件版本的相同方式更新 csproj 或 project.json,來編輯預期套件的版本。
解決所有直接相依性之後,您也必須檢閱可轉移的相依性。
檢閱可轉移的相依性
有兩種方式可檢視可轉移的相依性。 您可以使用 Visual Studio 的 方案總管,也可以檢閱您的 project.lock.json (project.json/VS2015) 或 project.assets.json (csproj/VS2017) 檔案。
使用 Visual Studio 方案總管 (VS2015)
如果您想要使用 Visual Studio 2015,請在 Visual Studio 2015 中開啟項目,然後按 Ctrl+;以在 方案總管 中啟用搜尋。 搜尋每個易受攻擊的套件名稱,並記下您找到的任何結果的版本號碼。
例如,在包含 Microsoft.AspNetCore.Mvc 參考的範例專案中搜尋 Microsoft.AspNetCore.Mvc,會在 Visual Studio 2015 中顯示下列結果。
.png)
圖 1:在 Visual Studio 2015 中搜尋參考
搜尋結果會顯示為樹狀結構。 在這些結果中,您可以看到我們發現 Microsoft.AspNetCore.Mvc 1.0.1 版的參考是易受攻擊的版本。
[參考] 標題下的第一個專案是指您的應用程式正在使用的目標架構。 這會是 。NETCoreApp,。NETStandard 或 。NET-Framework-vX.Y.Z(其中 X.Y.Z 是實際的版本號碼),視您設定應用程式的方式而定。 在您的目標架構下,將會是您直接相依的套件清單。 在此範例中,應用程式會相依於 Microsoft.AspNetCore.Mvc。 Microsoft.AspNetCore.Mvc 接著具有分葉節點,列出其相依性及其版本。 在此情況下,Microsoft.AspNetCore.Mvc 套件相依於易受攻擊版本的 Microsoft.AspNetCore.Mvc.Core 和其他許多套件。
手動檢閱project.lock.json (project.json/VS2015)
在編輯器中開啟project.lock.json檔案。 建議您使用瞭解 json 的編輯器,並可讓您折疊並展開節點來檢閱此檔案;Visual Studio 和 Visual Studio Code 都提供這項功能。
如果您使用 Visual Studio,則project.lock.json檔案位於 project.json 檔案底下。 按兩下指向project.json檔案左邊的三角形 ▷,展開方案樹狀結構以公開project.lock.json檔案。 下圖 1 顯示已展開project.json檔案的專案,以顯示project.lock.json檔案。
.png)
圖 2:project.lock.json檔案位置
搜尋project.lock.json檔案中的字串 「Microsoft.AspNetCore.Mvc.Core/1.1.0」。。 如果您的project.lock.json檔案包含此字串,則相依於易受攻擊的套件。
修正可轉移的相依性 (project.json/VS2015)
如果您找不到任何易受攻擊套件的參考,這表示您的直接相依性都不相依於任何易受攻擊的套件,或者您已藉由更新直接相依性來修正問題。
如果您的可轉移相依性檢閱找到任何易受攻擊套件的參考,您必須將直接相依性新增至更新的套件至您的project.json檔案,以覆寫可轉移的相依性。 開啟您的project.json並尋找 [相依性] 區段。 例如:
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
"Microsoft.AspNetCore.Mvc": "1.1.0"
}
針對所傳回的每個易受攻擊套件,您必須將直接相依性新增至更新的版本,方法是將它新增至project.json檔案。 若要這樣做,請將新行新增至相依性區段,並參考固定版本。 例如,如果您的搜尋顯示易受攻擊 System.Net.Security 4.0.0 版的可轉移參考,您會將參考新增至適當的固定版本 4.0.1。 編輯project.json檔案,如下所示:
"dependencies": {
"Microsoft.NETCore.App": {
"version": "1.0.1",
"type": "platform"
},
"System.Net.Security": "4.0.1",
"Microsoft.AspNetCore.Server.Kestrel": "1.1.0",
"Microsoft.AspNetCore.Mvc": "1.1.1"
}
將直接相依性新增至固定套件之後,請儲存您的project.json檔案。
如果您使用 Visual Studio 儲存更新的 project.json 檔案,Visual Studio 將會還原新的套件版本。 您可以開啟 [輸出視窗] [Ctrl+Alt+O],並將 [顯示輸出] 下拉式列表變更為 [封裝管理員,以查看還原結果。
如果您未使用 Visual Studio 開啟命令行,並變更至您的項目目錄。 執行 dotnet restore 命令來還原新的相依性。
使用 Visual Studio 方案總管 (VS2017)
如果您想要使用 方案總管,請在 Visual Studio 2017 中開啟專案,然後按 Ctrl+;以在 方案總管 中啟用搜尋。 搜尋每個易受攻擊的套件名稱,並記下您找到的任何結果的版本號碼。
例如,在範例專案中搜尋 Microsoft.AspNetCore.Mvc.Core,其中包含相依於 Microsoft.AspNetCore.Mvc 的套件,會在 Visual Studio 2017 中顯示下列結果。
.png)
圖 3:在 Visual Studio 2017 中搜尋參考
搜尋結果會顯示為樹狀結構。 在這些結果中,您可以看到我們找到 Microsoft.AspNetCore.Mvc.Core 1.1.2 版的參考。
在 [相依性] 節點下,將會是 NuGet 節點。 NuGet 節點底下會是您直接相依性及其版本的套件清單。 在此範例中,應用程式會直接相依於 Microsoft.AspNetCore.Mvc。 Microsoft.AspNetCore.Mvc 接著具有分葉節點,列出其相依性及其版本。 在範例中,Microsoft.AspNetCore.Mvc 套件相依於 Microsoft.AspNetCore.Mvc.ApiExplorer 的版本,而後者又相依於易受攻擊的 Microsoft.AspNetCore.Mvc.Core 版本。
手動檢閱project.assets.json (VS2017)
在編輯器中,從專案的 obj 目錄開啟project.assets.json檔案。 建議您使用瞭解 json 的編輯器,並可讓您折疊並展開節點來檢閱此檔案;Visual Studio 和 Visual Studio Code 都提供這項功能。
搜尋project.assets.json檔案中易受攻擊套件數據表中的每個套件名稱,後面接著 /。 例如,尋找 Microsoft.AspNetCore.Mvc 需要使用 “Microsoft.AspNetCore.Mvc/” 的搜尋字串。 如果您的project.assets.json檔案包含此字串,且完整版本號碼(在 /之後的任何搜尋叫用次數)都符合先前所列的其中一個易受攻擊版本,則相依於易受攻擊的套件。
修正可轉移的相依性 (csproj/VS2017)
如果您找不到任何易受攻擊套件的參考,這表示您的直接相依性都不相依於任何易受攻擊的套件,或者您已藉由更新直接相依性來修正問題。
如果您的可轉移相依性檢閱找到任何易受攻擊套件的參考,您必須將直接相依性新增至更新的套件至 csproj 檔案,以覆寫可轉移的相依性。 在編輯器中開啟您的 projectname.csproj 檔案,或以滑鼠右鍵按兩下Visual Studio 2017中的專案,然後從內容功能表中選擇 [編輯 projectname.csproj],其中 projectname 是您項目的名稱。 尋找 PackageReference 節點,例如:
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
</project>
針對所傳回的每個易受攻擊套件,您必須將直接相依性新增至更新的版本,方法是將它新增至 csproj 檔案。 若要這樣做,請將新行新增至相依性區段,並參考固定版本。 例如,如果您的搜尋顯示易受攻擊的 System.Net.Security 4.3.0 版的可轉移參考,您會將參考新增至適當的固定版本 4.3.1。
<project sdk="Microsoft.NET.Sdk.Web">
<propertygroup>
<targetframework>netcoreapp1.1</targetframework>
</propertygroup>
<propertygroup>
<packagetargetfallback>$(PackageTargetFallback);portable-net45+win8+wp8+wpa81;</packagetargetfallback>
</propertygroup>
<itemgroup>
<packagereference include="System.Net.Security" version="4.3.1">
</packagereference><packagereference include="Microsoft.AspNetCore" version="1.1.1">
</packagereference><packagereference include="Microsoft.AspNetCore.Mvc" version="1.1.3">
</packagereference></itemgroup>
<itemgroup>
<dotnetclitoolreference include="Microsoft.VisualStudio.Web.CodeGeneration.Tools" version="1.0.0">
</dotnetclitoolreference></itemgroup>
新增直接相依性參考之後,請儲存 csproj 檔案。
如果您使用 Visual Studio,請儲存更新的 csproj 檔案,而 Visual Studio 會還原新的套件版本。 您可以開啟 [輸出視窗] [Ctrl+Alt+O] 並將 [顯示輸出] 下拉式清單變更為 [封裝管理員,以查看還原結果。
如果您未使用 Visual Studio,請開啟命令行並變更至您的項目目錄。 執行 dotnet restore 命令來還原新的相依性。
重建應用程式
最後重建您的應用程式,如平常一樣進行測試,並使用您偏好的部署機制重新部署。
其他資訊
報告安全性問題
- 如果您在 .NET Core 中發現潛在的安全性問題,請以電子郵件傳送詳細資料給 。 報告可能符合 .NET Core Bug 賞金資格。 .NET Core Bug 賞金的詳細數據,包括條款及條件位於 https:。
Microsoft Active Protections 計劃 (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 方案 (MAPP) 合作夥伴中。
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 您可以在 .NET Core 或 ASP.NET Core 組織中 GitHub 上詢問此問題的問題。 這些位於 </HTTPs:>HTTPs: 和 </https:>https:。 每個產品 (https://github.com/dotnet/Announcements 和 https://github.com/aspnet/Announcements) 的公告存放庫將包含此諮詢作為問題,並將包含討論問題的連結,您可以在其中提出問題。
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。 * Microsoft TechNet 安全性提供 Microsoft 產品中安全性的其他資訊。
通知
Microsoft 感謝您 與我們合作,協助保護客戶:
- 適用於報告 ASP.NET 核心阻斷服務弱點的 Sidertia 解決方案 David Fernandez (CVE-2017-0247)
- Mikhail Shcherbakov 報告 ASP.NET 核心詐騙弱點 (CVE-2017-0256)
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2017 年 5 月 9 日):已發佈諮詢。
- V1.1 (2017 年 5 月 10 日):已修訂以包含問題 CVE 及其描述表的諮詢。 這隻是參考性變更。
頁面產生的 2017-05-10 13:08-07:00。 </https:>